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Abstract of DE1 981 3389 

The safety control circuit includes a pair of separate channels, each containing a programme control 
unit (64,62). The control unit controls at least one electronic switch element (T1-T4; T5-T8), for 
connecting an electrical load (160) to an operating voltage (UB). At least one electromechanical switch 
element (146,148) is controlled by the programme control unit, in dependence on the switch state of at 
least one electronic switch element. The switch contacts (130,132;134,136) of the electromechanical 
switch element are connected in series with the electronic switch element. 
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Prufungsantrag gem. § 44 PatG ist gestellt 

(5) Sicherheitsgerichtete Ansteuerschaltung 

(57) Die Erfindung bczieht sich auf eine sicherheitsgerichte- 
te Ansteuerschaltung fur zurrtindest einen elektrischen 
Verbraucher (160) wie Schutz oder Relais umfassend ei- 
nen ersten Kanal A mit einer programmierbaren Steuer- 
einheit (64) zur Ansteuerung von zumindest einem ersten 
elektronischen Schaltelement (T1-T4) und einen zweiten 
Kanal B mit einer programmierbaren Steuereinheit (62) 
zur Ansteuerung von zumindest einem zweiten elektroni- 
schen Schaltelement (T5-T8), wobei der zumindest eine 
elektrische Verbraucher (160) iiber das erste und/oder 
zweite elektronische Schaltelement (T1-T8) mit Betriebs- 
spannung U B verbindbar ist. Zur Beherrschung von 
"Common-Mode"-Fehlern ist vorgesehen, daB die An- 
steuerschaltung zumindest ein elektromechanisches 
Schaltelement (146, 148) aufweist, wobei das zumindest 
■ eine elektromechanische Schaltelement (146) von der er- 
, sten programmierbaren Steuereinheit (64) und/oder von 
» der zweiten programmierbaren Steuereinheit (64) in Ab- 
hangigkeit von dem Schaltzustand zumindest eines elek- 
tronischen Schaltelementes (T1-T8) ansteuerbar ist, und 
wobei zumindest ein Schaltkontakt (130, 132; 134, 136) 
des zumindest einen elektromechanischen Schaltelemen- 
tes (146, 148) in Reihe jeweils zu dem ersten und/oder 
zweiten elektronischen Schaltelement (T1-T8) liegt. 
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Die Erfindung bezieht sich auf eine sicherheitsgerichtete 
Ansteuerschaltung fiir zumindest einen elektrischen Ver- 
brauchcr wie Schiitz oder Relais umfassend einen ersten Ka- 5 
nal mit einer programmierbaren Steuereinheit zur Ansteue- 
rung von zumindest einem ersten elektronischen Schaltele- 
ment und einen zweiten Kanal nut einer programmierbaren 
Steuereinheit zur Ansteuerung von zumindest einem zwei- 
ten elektronischen Schaltelement, wobei der zumindest eine 10 
elektrische Verbraucher iiber das erste und/oder zweite elek- 
tronische Schaltelement mit Betriebsspannung verbindbar 
ist. 

Aus dem Stand der Technik sind sicherheitsgerichtete 
Ansteuerschaltungen bzw. Sicherheitsschaltungen bekannt, 15 
die einen zwei-kanaligen Aufbau in gleicher Technologie 
aufweisen, wobei jeder Kanal eine Mikxocomputer-Schal- 
tung umfaBt. Wahlwcisc konncn die Kanale clcktronischc 
Bauteile unterschiedlicher Herstellung beinhalten und/oder 
einen strukturell anderen Aufbau aufweisen. 20 

Grundsatzlich sind die Kanale dabei jedoch als funktio- 
nell eigenstandige Systeme ausgelegt. Die Kanale, im Fol- 
genden als Kanal A und B bezeichnet, weisen jeweils Ein- 
/Ausgangsebenen auf, an die Sicherheitssignalgeber ange- 
schlossen sind, deren Eingangssignale in den jeweiligen Ka- 25 
nalen verarbeitet werden. Im Falle zwei-kanaliger Sicher- 
heitssignalgeber wirkt ein erstes Eingangssignal zumindest 
auf den Kanal A und ein zweites Eingangssignal zumindest 
auf den Kanal B. Die Ankopplung der Eingangssignale kann 
zusatzbch auch kreuzweise erfolgen. 30 

Zwischen den beiden Kanalen A und B erfolgt fortlau- 
fend ein dynamischer gegenseitiger Informationsaustausch 
und eine gegenseitige Oberwachung des vollzogenen Infor- 
mationsaustausches iiber eine Verbindungsleitung, im Fol- 
genden Link genannl. 35 

Uber den Link verfugen beide Kanale regelmaBig iiber 
den gleichen Informationsstand, wobei auch eine etwaige 
Storung oder ein Ausfall in einer angeschlossenen Periphe- 
rie eingeschlossen ist. Da eine Freigabe einer z. B. gefahr- 
bringenden Bewegung in Sicherheitssiromkreisen in einer 40 
bestimmen Konstellation von zwei Eingangssignalen - im 
Regelfall von zwei geschlossenen Kontakten - abhangig ist, 
wiirde dies von der Sicherheitsschaltung erkannt werden 
und zu einer Betriebshemmung des betreffenden Steue- 
rungsteils fuhren, d. h. der Ausgangssignale, die erzeugt 45 
werden sollen, unterbleiben. 

Eine Besonderheit bei der Fehlerbetrachtung stellen Feh- 
lerursachen dar, die zum gleichen Zeitpunkt auf alle Kanale 
in gleicher Ausfallrichtung einwirken. Bei sogenannten 
"Common Mode'-Fehlern wirkt die MaBnahme des Ver- 50 
gleichs uber einen Link im Falle eines sicherheitsgerichteten 
Verhaltens nicht mehr. 

Der sogenannte "Common Mode"-Fehler wird bevorzugt 
in der Fehlerbetrachtung von Schaltungen, die mit elektroni- 
schen Bauteilen aufgebaut sind, angenommen. Im Falle von 55 
Schaltungen, die mit elektromechanischen Bauteilen aufge- 
baut sind, werden Fehler dieser Art regelmaBig nicht be- 
trachtet, weil hier zusatzliche MaBnahmen, wie z. B. galva- 
nische Trennung von Kontakten und/oder zwangsoffhende 
oder zwangsgefuhrte Kontakte, vorgesehen sind. 60 

Bekannte MaBnahmen zur Beherrschung von "Common 
Mode"-Fehlern sind z. B. diversitar aufgebaute Schaltun- 
gen, d. h. der Aufbau von mehrkanaligen Sicherheitsschal- 
tungen mit unterschiedlichem Arbeitsprinzip, wobei z. B. 
Kanal A mit clcktronischcr Arbcitswcisc und Kanal B mit 65 
elektromechanischer Arbeitsweise aufgebaut ist. In diesem 
Fall begibt man sich aber der spezifischen Vorteiieelektroni- 
scher Technik, wie z. B. VerschleiBfreiheit, Schnelligkeit 



und ahnliches. 

Eine weitere anerkannte Moglichkeit zur Beherrschung 
von "Common Mode"-Fehlem sind dynamische Fehleriiber- 
wachungsfunktionen wie z. B. fortlaufende CTRC-Checks 
der beteiligten Mikrocomputer und/oder diversitare Hard- 
/Software derselben. 

Desweiteren kann ein dynamischer Test der Ausgangs- 
halbleiter im Rahmen des Tragheitsmomenls nachgeordne- 
ter Schallgerate erfolgen, indem die Prozessoren Ausgangs- 
halbleiter fortlaufend in einer zeitlichen S .quenz, die kleiner 
als das Tragheitsmoment z. B. nachgec r dneter mechani- 
scher Kontakte ist, ein- und ausschalten, wobei dabei deren 
ordnungsgemaBe Arbeitsweise iiberpruft wird. 

Trotz all dieser MaBnahmen wird ein "Common-Mode "- 
Fehler, der die elektronischen Schaltelemente wie Lei- 
stungshalbleiter im Sinne eines Durchlegierens (Leistungs- 
halbleiter bleibt auch nach Abschaltung durchgeschaltet) 
bctrirlt, jedoch nicht bchcrrscht. Zwar wird bei den bckann- 
ten MaBnahmen ein solcher Fehler von den Prozessoren 
bzw. Mikrocomputern der Sicherheitsschaltung erkannt, je- 
doch ware dennoch die Abschaltung einer zum Bei spiel ge- 
fahrbringenden Bewegung nicht moglich, wenn zum Bei- 
spiel die ausgangsseitigen Leistungshalbleiter trotz eines be- 
aufschlagten Abschaltsignals durchgeschaltet bleiben. 

Davon ausgehentl liegt der vorb'egenden Erfindung das 
Problem zu Grunde, eine sicherheitsgerichtete Ansteuer- 
schaltung dahingehend weiterzubilden, daB durch einfache 
MaBnahmen eine Beherrschung von "Common-Mode"-Feh- 
lern erreicht wird. 

Das Problem wird erfindung sgemaB dadurch gelost, daB 
die Ansteuerschaltung zumindest ein elektromechanisches 
Schaltelement aufweist, daB das zumindest eine elektrome- 
chanische Schaltelement von der ersten programmierbaren 
Steuereinheit und/oder von der zweiten programmierbaren 
Steuereinheit in Abhangigkeit von dem Schaltzustand zu- 
mindest eines elektronischen Schalteelementes ansteuerbar 
ist und daB zumindest ein Schaltkontakt des zumindest ei- 
nen elektromechanischen Schaltelementes in Reihe jeweils 
zu dem ersten und/oder zweiten elektronischen Schaltele- 
ment tieg .. 

Im Gegensatz zu den bekannten Sicherheitsschaltungen 
erfolgt bei der erfindungsgemaBen sicherheitsgerichteten 
Ansteuerschaltung durch die in Reihe zu den elektronischen 
Schaltelementen angeordneten mechanischen Schaltkon- 
takte ein sicheres Abschalten des elektrischen Verbrauchers. 
Im Gegensatz zu handelsubtichen Relais-Sicherheits-Kom- 
binationen wird die Sicherheitsfunktion dieser Schaltung 
aber nur in einem Fehlerfall der Ausgangshalbleiter akti- 
viert, d. h. wenn bei einer Uberprufung der ausgangsseitigen 
elektronischen Schaltelemente durch die programmierbaren 
Steuereinheiten festgestellt wurde, daB die elektronischen 
Schaltelemente durchlegiert sind und nicht mehr abschalten 
konnen. Diese Art Fehler wurde von den Schaltungen nach 
dem Stand der Technik zwar auch erkannt, da die Ausgangs- 
halbleiter jedoch durchlegiert sind, konnte das gewunschte 
Ausfall verhalten im Sinne einer Abschaltung einer gefahr- 
bringenden Bewegung nicht erreicht werden. 

Bei einer besonders bevorzugten Ausfuhrungsform ist 
vorgesehen, daB die Ansteuerschaltung zumindest zwei 
elektromechanische Schaltelemente aufweist, daB ein erstes 
elektromechanisches Schaltelement von der ersten program- 
mierbaren Steuereinheit und/oder ein zweites elektromecha- 
nisches Schaltelement von der zweiten programmierbaren 
Steuereinheit in Abhangigkeit von dem Schaltzustand zu- 
mindest cincs elektronischen Schaltelementes ansteuerbar 
ist, und daB eine Reihenschaltung aus jeweils einem Schalt- 
kontakt des ersten und zweiten elektromechanischen Schalt- 
elementes in Reihe jeweils zu dem ersten und/oder zweiten 
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elektronischen Schaltelemenl 

Zur unmittelbaren Beherrschung eines "Common mode' 
Fehlers wiirde ein iibergeordneies elekiromechanisches 
Schaltelement geniigen, auf das einer oder beide Prozesso- 
ren Zugriff hatten, wenn im Rahmen des "Link" ein solcher 5 
Fehler festgestellt wiirde. Man kann nun aber auch dem 
Schaltelement wiederum eine Fehlerhaftigkeit unterstellen, 
zum Beispiel verschweiBte Ausgangskontakte, mechani- 
sches Verklemmen des Ankers etc. A us diesem Grunde ist 
die iibergeordnete Schaltung mit zwei Relais mit zwangsge- 10 
fiihrten Kontakten selbstiiberwachend aufgebaut. Je nach si- 
cherheitstechnischen Anforderungen ist dies nicht zwingend 
erforderlich, da nicht iiberall, d. h. in alien sicherheitstechni- 
schen Anforderungsstufen mit einer Fehlerhaufung gerech- 
net zu werden braucht. 15 

Vorzugsweise sind die elektromechanischen Schaltele- 
mente als Relais und die Schalikontakte als zwangsgefuhrte 
Kontaktc ausgcbildct. Das Mcrkmal dcr zwangsgcfiihrtcn 
Kontakte stellt sicher. da6 unter dem Gesichtspunkt der Feh- 
lerbetrachtung einer solchen Schaltung keine weiteren MaB- 20 
nahmen erforderlich sind, die sicherheitsgerichteten Ansteu- 
erschaltungen sicherzustellen. Zwangsgefuhrte Kontakte 
stellen sicher, daB im Falle eines elektrischen oder mechani- 
schen "Hangen" eines Relais dies erkannt und ein Wieder- 
einschalien verhindert wird. 25 

Durch den Einsatz von programmierbaren Steuereinhei- 
ten wie Mikrocomputer ist die sicherheitsgerichtete Ansteu- 
erschaltung standig in den steuerungstechnischen Ablauf ei- 
nes Gesamtsystems, wie z. B. eines Bussystems involviert. 
Dies bedeutet daB jede Zustandsveranderung der ange- 30 
schlossenen Peripherie auch eine Zustandsanderung der si- 
cherheitsgerichteten Ansteuerungsschaltung bewirkt. Dies 
bedeutet, daB die iibergeordnete Relaisebene nur im Fehler- 
fall aktiviert wird. Da die Schaltung in programmierbarer 
elektronischer Technik ausgefiihrt ist, arbeitet diese einer- 35 
seits verschleiBfrei, um auch zugunsten von Verfugbarkeit 
bzw. Standzeit und andererseits mit einer immanenten 
Schnelligkeit (zugunsten der angestrebten Sicherheitsfunk- 
tion). Die besonderen Vorteile dieser Losung bestehen darin, 
daB ein "Common Mode"-Fehler ausgangsseitig im elektro- 40 
nischen Schaltelement wie Leistungs transistor der Sicher- 
heitsschaltung nicht nur erkannt, sondern auch beherrscht 
werden. Auch besteht die Moglichkeit, daB sich mehrere 
elektronische Sicherheitsschaltungen dieser Art iiber eine 
solche handelsiibliche Relais-Sicherheitskombi nation iiber- 45 
wachen lassen. 

Um zu erreichen, daB eine moglichst lange Standzeit er- 
reicht wird ist vorgesehen, daB die Schalikontakte der Relais 
wahrend des Betriebs geschlossen sind. Das heiBt, die Re- 
lais-Sicherheitskombination ist betriebsmaBig nicht in die 50 
Arbeit involviert, wodurch kein VerschleiB eintritt. 

Auch wird eine schnellere Reaktionszeit gegen iiber Si- 
cherheitssuromkreisen erreicht, deren Kanale zumindest teil- 
weise mit mechanischem Arbeitsprinzip ausgebildet sind. 

Als weiterer Vorteil ist zu erwahnen, daB sich fehlerbe- 55 
herrschende und/oder fehlertolerante Verhaltensweisen 
durch eine intelligente Zuordnung der Relais-Sicherheits- 
kombi nationsschaltungen zu elektronischen Sicherheits- 
schaltungen nur partiell wirken bzw. sich partiell wirkend 
steuem lassen, d. h. - sowohl im Sinne von Verfugbarkeit 60 
bzw. Zuverlassigkeit als auch im Sinne von Sicherheit - sich 
nicht unbedingt auf das gesamte System beziehen miissen. 

Zur Ansteuerung der Relais ist vorgesehen, daB ein erster 
AnschluB des ersten/zweiten Relais mit einem Ausgang des 
crstcn/zwcitcn Mikrocomputcrs und cin zwcitcr AnschluB 65 
des ersten/zweiten Relais mit einem Eingang des zweiten/ 
ersten Mikrocomputers verbunden ist. Auf diese Weise ist 
sichergestellt, daB ein Relais nur dann einschaltet, wenn 
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Steuersignale von beideWBTkrocomputern erzeugt werden. 
Bei einer besonders bevorzugten Ausfuhrungsform ist ein 
Ausgang eines elektronischen Schaltelementes des Kanals 
A mil. einem Eingang des Mikrocomputers des Kanals B 
verbunden und umgekehrt. 

Weitere Einzelheiten, Vorteile und Merkmale der Errin- 
dung ergeben sich nicht nur aus den Anspruchen, den diesen 
zu entnehmenden Merkmalen - fur sich und/oder inKombi- 
nation -, sondem auch aus der nachfolgenden Beschreibung 
eines den Figuren zu entnehmenden bevorzugten Ausfuh- 
rungsbeispiels. 
Es zeigen: 

Fig. 1 prinzipieller Aufbau eines Sicherheitsbussysiems, 
Fig. 2 prinzipieller Aufbau einer Master-Station mit zwei 
Kanalen, 

Fig. 3 Schaltungsanordnung eines ersten Kanals der Ma- 
ster-Station gemaB Fig. 2, 

Fig. 4 prinzipieller Aufbau cincr Ein- und/oder Aus- 
gangs-Station, 

Fig. 5 prinzipieller Aufbau einer Bus-AbschluB-Station, 
Fig. 6 Schaltungsaufbau eines Sicherheitsschaltkreises, 
Fig. 7 eine Bus-Ausgangsstation mit extemer Beschal- 
tung, 

Fig. 8 einen Sirompfad der Bus-Ausgangsstation mit ex- 
temer Beschaltung gemaB Fig. 7. 

Fig. 1 zeigt ein sicherheitsgerichtetes Steuerungssystem 
10, das in dem hier dargestellten Ausfuhrungsbeispiel als 
strangformiges Bussystem ausgebildet wird. Das Bussystem 
weist eine Vielzahl von miteinander in Verbindung stehen- 
der Ein- und/oder Ausgange aufweisender zentraler und/ 
oder dezentraler Stationen 12, 14, 16, 18, 20 auf. Dabei ist 
eine erste Station 12 als Bus-Anfangsstation bzw. als Bus- 
Master mit einem BusanschluB 22 und eine letzte Station 20 
als Bus-AbschluB-Station mit einem Buseingang 24 ausge- 
bildet. Die weiteren Stationen 14, 16, 18 besitzen jeweils ei- 
nen Buseingang 26, 28, 30 und einen Busausgang 32, 34, 36. 
Zwischen einem Busausgang 22, 32, 34, 36 einer Bus-Sta- 
tion und einem Buseingang 26, 28, 30 ist jeweils eine einka- 
nalige Busleitung 38, 40, 42, 44 angeordnet. Auf diese 
Weise kann das Bussystem 10 einen Strang mit bis zu 64 
Stationen aufweisen. 

Das Ubertragungsmedium bzw. die einkanalige Buslei- 
tung 38, 40, 42, 44 besteht aus einer Datenleitung 46 und ei- 
ner Energieversorgungsleitung 48. Dabei sind sowohl die 
Datenleitung als auch die Energieversorgungsleitung zwei- 
adrig ausgebildet. 

Zur Energieversorgung ist der Bus-Master 12 iiber eine 
Zuleitung 50 mit einem Transformator 52 verbunden, der 
seinerseits mit Netzspannung verbunden ist und eine beriih- 
rungssichere Versorgungswechselspannung von vorzugs- 
weise 42 V AC zur Verfugung stellt. Sowohl die Datenlei- 
tung 46 als auch die Energieversorgungsleitung 48 werden 
innerhalb der die Busein- und -ausgange 26, 32; 28, 34; 30, 
36 aufweisenden Stationen intern durchgeschliffen. Grund- 
satzlich weist jede Station 12, 14, 16, 18, 20 des Bussystems 
10 zwei voneinander unabhangige Teilsysteme bzw. Knoten 
A, B auf, die im Folgenden als Kanal A und Kanal B be- 
zeichnet werden. Durch die zweikanalige Ausbildung wird 
ein redundantes System aufgebaut. Dabei hat jeder Kanal A, 
B innerhalb der Station 12—20 die Moglichkeit, selbstandig 
auf den Bus 38—44 zuzugreifen. Mit anderen Worten arbeitet 
jeder Kanal A, B nach dem Multi-Master-Prinzip selbstan- 
dig. Grundsatzkch weisen die Stationen 12-20 einen im we- 
sentlichen identischen Hardware-Aufbau auf. 

In Fig. 2 ist dcr Aufbau des Bus-Masters 12 dargcstcllt. 
Die Kanale A und B weisen jeweils ein Netzteil 54, 56 auf, 
das eingangsseitig mit der Vorsorgungsleitung 50 verbunden 
sind. Ein erster Ausgang 58, 60 des Netzteils 54, 56 ist mit 
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einer programmierbaren SieuSWrmeit 62, 64 wie Mikro 
computer verbunden. Die Mikrocomputer 62, 64 sind tiber 
Leitungen 66, 68 mit Bus-Controllern 70, 72 verbunden, die 
uber weitere Leitungen 74, 76 mil Buskopplern 78, 80 mil. 
der Bus-Datenleitung 46 verbunden sind. Die Buskoppler 5 
78, 80 weisen eine separate Spannungsversorgung auf und 
sind mil einem zweiten Ausgang 82, 84 des Netzteils 54, 56 
verbunden. 

Uber eine Verbindungsleitung bzw. einen Link 86 zwi- 
schen den Mikrocomputem 62, 64 erfolgt ein Datenaus- 10 
tausch zwischen den Kanalen A und B zur gegenseitigen 
TJberprufung. Dabei handelt es sich urn eine galvanisch ent- 
koppelte, serielle Schnittstelle. Desweilcren sind in den Mi- 
krocomputem 62, 64 serielle Schnittstellen 88, 90 wie 
RS232- oder CAN- Schnittstelle vorgesehen, die uber je- 15 
weils eine Verbindungsleitung mit einer Ausgangsebene 92 
des Kanals B und einer Ausgangsebene 94 des Kanals A 
verbunden sind, urn cine Vcrbindung zu cinctn cxtcrncn Pro- 
grammiergcrat wie Personalcompuler zur Programmierung 
des Bussystems herzustellen. Auch konnen weitere Schnitt- 20 
stellen zur Ankopplung an anderc Busebenen vorgesehen 
sein. Die Ausgangsebenen 92, 94 weisen jeweils bis zu acht 
Halbleiterausgange auf. 

In Fig. 3 is! eine Schaltungsanordnung des Kanals A der 
Master- Station 12 gemaB Fig. 2 im Detail dargestellt. Dabei 25 
weist der Kanal A einen an sich nach dem Stand der Technik 
typischen Schaltungsaufbau auf. Das Netzteil 56 umfaBt 
zwei Transformatoren 96, 98. deren Primarwicklungen 100. 
102 primarseitig in Reihe an Versorgungsspannung liegen. 
Die Transformatoren 96, 98 weisen jeweils eine Sekundar- 30 
wicklung 104, 106 auf, die jeweils uber einen Gleichrichter 
108, 110 und uber einen Spannungsregler 112, 114 eine ge- 
regelte Ausgangsspannung fur den Mikrocomputer 64 bzw. 
den Buskoppler 80 zur Verfugung stellen. Der Mikrocompu- 
ter 64 weist zudem externe Speicherbausteine 116, 118 wie 35 
RAM und ROM auf sowie einen Watchdog 120. Die beiden 
Mikrocomputer 62, 64 der Master-Station 12 konnen unab- 
hangig voneinander auf den Bus 38, 40, 42, 44 uber jeweils 
den Buskoppler 78, 80 zu greifen. Uber den Link 86 ist ein 
Datenaustausch fur Kontrollzwecke moglich. Die Verbin- 40 
dung ist optoelektronisch entkoppelt. 

Durch den zentralen Leistungstransformator 52 wird die 
Netzspannung von UN = 230 V AC auf eine Versorgungs- 
spannung Uv = 42 V AC transformiert. Die Versorgungs- 
spannung Uv liegt am Eingang des Netzteils 54, 56 an und 45 
ist mit den Eingangswicklungen der Transformatoren 96, 98 
verbunden. An den Ausgangswicklungen 104, 106 liegt eine 
Spannung von ca. 8 V AC an, die uber den Gleichrichter 
108, 110 und zugeordnete Spannungsregeler 112, 114 auf ca, 
5 V begrenzt wird. Die Spannung wird mit Hilfe des Watch- 50 
dog 120 iiberwacht. 

Der ROM-Baustein 118 dient zur Speicherung von Firm- 
ware. Der ROM-Baustein 118 ist als EPROM ausgebildet 
und wird mit Hilfe einer Checksummenbildung 16 Bit 
(CRC-Check) zykiisch uberpruft. Anwenderspezifische Da- 55 
ten werden in einem Flash-EPROM gespeichert. Die Pro- 
grammierung des Flash-EPROMS erfolgt uber die serielle 
Schnittstelle 90. Mit Hilfe eines Schalters und verschiedener 
Sicherungsmechanismen konnen die Anwenderdaten uber- 
nommen werden. Die Prufung des Flash-EPROMS erfolgt 60 
mit Hilfe des oben beschriebenen CRC-Check. 

Das externe RAM 116 ist zusatzlich zu einem prozessor- 
internen RAM vorgesehen. Dieser RAM-Baustein 116 bein- 
haltet eine RTC (Real Time Clock). Fur den Mikrocomputer 
62 ist cbcnfalls cin cxtcrncs RAM vorgesehen, das allcr- 65 
dings keine RTC aufweist. 

Fig. 4 zeigt beispielhaft den Aufbau einer der Stationen . 
14. 16, 18. Die Stationen 14, 16, 18 weisen im wesentlichen 
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den gleichen intemen AuWSfc auf wie die Master-Station 12. 
Ein wesentlicher Unterschied besteht in der Ausbildung ei- 
ner Ein- und/oder Ausgangsebene 124, 122. So kann die 
Bus-Station als Bus-Ausgangsstat.ion mit. bis zu acht Halb- 
leiterausgangen oder als Bus-Eingangsslation mit Halblei- 
tereingangen ausgebildet sein, an der ein bis vier Not-Aus- 
Taster oder wahlweise ein bis acht Befehlsgcrate wie Verrie- 
gelungs- oder Entriegelungsgerate angeschlossen sind. Die 
Kontaktelemente werden dabei an eine Klemme gelegt und 
intern - uber Optokoppler getrennt - mit den Eingangen der 
beiden Mikrocomputersysteme verbunden. Zur Uberprii- 
fiing der Leitungen auf QuerschluB werden zur Testung die 
Leitungen periodisch mit Signalen beaufschlagt. 

In Fig. 5 ist ein Aufbau der Bus-AbschluB-Station 20 dar- 
gestellt. Im Unterschied zu den Bus-Stauonen 14, 16, 18 
weist die Bus-AbscbluB-Station nur den Buseingang 24 und 
keinen weiteren Busausgang auf. Die Bus-AbschluB-Station 
20 kann cbcnfalls uber Ein- und/oder Ausgange 126, 128 
verfugen. Die technische Funktion der Bus-AbschluB-Sta- 
tion 20 soli spater erlautert werden. 

In Fig. 6 ist beispielhaft eine Schaltungsanordnung der 
Ausgangsebene 92, 94 der Kanale A und B, des Bus-Ma- 
sters 12 dargestellt. Dabei besteht die Ausgangsebene 94 des 
Kanals A aus einer Vielzahl von NPN-Transistoren T1-T4, 
die eiiullerseilig uber Widersiande R1-R4 mil Bezugspolen- 
tial verbunden sind. Kollektorseitig sind die Transistoren 
T1-T4 uber zwei in Reihe liegende SchlieBerkontakte 130, 
132 mit positiver Betriebsspannung Ub+ verbunden. 

Die Ausgangsebene 92 des Kanals B weist eine Vielzahl 
von PNP-Transistoren T5-T8 auf, die emitterseitig mitein- 
ander verbunden und liber zwei in Reihe liegende SchlieBer- 
kontakte 134, 136 mit negativer Betriebsspannung Ub- ver- 
bunden sind. Kollektorseitig sind die Transistoren T5-T8 
liber Widersiande R5 R8 mit Bezugspotential verbunden. 
Zur Ansteuerung der Transistoren Tl bis T4 weist der Mi- 
krocomputer 90 Ausgange 138 auf, die vorzugsweise uber 
Optokoppler mit einer Basis der Transistoren T1-T4 ver- 
bunden sind. Auch der Mikrocomputer 62 weist entspre- 
chende Ausgange 140 auf, mit denen die Transistoren 
T5-T8 angesteuert werden konnen. Zur Uberwachung der 
Schaltfunktionen der Transistoren T1-T4 einerseits und der 
Transistoren T5-T8 andererseits weist der Mikrocomputer 
64 Eingange 142 auf, die mit Ausgangen E1-E4 der Transi- 
storen T5-T8 verbunden sind. Gleiches gilt fur den Mikro- 
computer 62, der Eingange 144 aufweist, die mit Ausgangen 
E5-E8 der Transistoren T1-T4 verbunden sind. Vorzugs- 
weise sind aUe Verbindungen zwischen den Microcompu- 
tern 62, 64 uber Optokoppler (nicht dargestellt) galvanisch 
getrennt. 

Desweiteren umfaBt die Schaltung zwei Relais 146, 148, 
wobei das Relais 146 mit einem ersten AnschluB an einem 
Ausgang 150 des Mikrocomputers 64 und mit einem zwei- 
ten AnschluB an einem Eingang 152 des Mikrocomputers 62 
anliegt. Entsprechend liegt das Relais 148 mit einem ersten 
AnschluB an einem Ausgang 154 des Mikrocomputers 62 
und einem zweiten AnschluB an einem Eingang 156 des Mi- 
krocomputers 64 an. 

Der Ausgang 158 der Ausgangsebene 94 ist mit einer 
Wicklung 160 eines elektromechanischen Schaltelementes 
wie Motorschiitzes verbunden, das seinerseits uber einen 
weiteren AnschluB mit dem Ausgang 162 der Ausgangs- 
ebene 92 verbunden ist. Werden aufgrund von Steuerbefeh- 
len der Mikrocomputer 63, 64 die Transistoren Tl und T5 
lei tend geschaltet und sind die Relais 146, 148 angezogen, 
so wird das Motorschiitz 160 bestromt und zicht an. 

Um eine sichere Funktion dieser Schaltungsanordnung zu 
gewahrleisten, sind die Relais 146, 148 als zwangsgefuhrte 
Relais ausgefuhrt, welche im Einschaltaugenblick uber ein 
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Zeitfenster elekirisch miteinaT^F verriegeli sind. Die Re- 
laisspulen 146, 148 werden uber einen Transistor direkt von 
jeweils einem Mikrocomputer 62, 64 angesteuert. Die Ver- 
schaltung der Relaiskontakte 130, 132, 134, 136 der 
zwangsgefiihrten Relais 146, 148 entspricht einem "sicheren 5 
Vergleicher". 

Selbstverstandlich konnen auch weitere Stationen 14, 16, 
18 Ausgange zum Ansteuern verschiedener Aktoren besit- 
zen. Dabei ist vorgesehen, daB jede Ausgangsstation 122, 
124 acht N-schaltende und acht P-schaltende Transistoren 10 
aufweist. 

In Fig, 7 ist eine entsprechende Bus-Ausgangsstation 14 
dargestellt, die wahlweise an einen externen Verbraucher 
164 in einkanaliger Ausfuhrung angeschlossen ist oder wo 
bei zwei Verbraucher 166, 168 eine redundante Anschaltung is 
bilden. 

Bei der einkanaligen AnschluBweise liegt der elektrische 
Verbraucher 164 mit sciocm crstcn AnschluB an cincm Aus- 
gang eines Transistors des Kanals A und mit einem zweiten 
AnschluB an einem Ausgang eines Transistors des Kanals B. 20 
Uber den Transistor des Kanals A und die SchlieBerkontakte 
130, 132 liegt der erste AnschluB des Verbrauchers 164 an 
positiver Betriebsspannung. und uber den Transistor des Ka- 
nals A, B sowie weitere SchlieBerkontakte 134. 136 liegt ein 
zweiter AnschluB des Verbrauchers 164 an negaliver Be- 25 
triebsspannung. 

Bei redundanter Ausfuhrungsform des Verbrauchers liegt 
der erste Verbraucher 166 mit einem ersten AnschluB an po- 
sitiver Betriebsspannung und mit einem zweiten AnschluB 
uber einen Transistor des Kanals B an negativer Betriebs- 30 
spannung. Hingegen liegt der zweite Verbraucher 168 mit 
einem AnschluB an negativer Betriebsspannung und mit ei- 
nem weiteren AnschluB uber einem Transistor des Kanals A 
an positiver Betriebsspannung. 

Zur prinzipiellen Beschreibung der Funktion der Schalt- 35 
kreise gemaB Fig. 6 und 7 ist ein Strompfad in Fig, 8 darge- 
stellt. Bei der einkanaligen Betriebs weise liegt der Verbrau- 
cher 164 mil einem ersten AnschluB 182 uber eine Klemme 
184 an einem Kollektor 186 des Transistors T0A. Dessen 
Emitter 188 liegt uber die SchlieBerkontakte 174, 176 an po 40 
sitivem Potential der Betriebsspannung. 

Ein zweiter AnschluB 190 des Verbrauchers 164 liegt 
uber eine Klemme 192 an einem Kollektor 194 des NPN- 
Transistors TOB. Ein Emitter 196 des Transistors T0B liegt 
uber die SchlieBerkontakte 178, 180 an Bezugspotential der 45 
Betriebsspannung. 

We schon mit Bezug zu Fig. 6 erlautert, wird ein erster 
AnschluB 198 des Relais 170 uber einen Optokoppler 200 
von einem Ausgang des Mikrocomputers des Kanals A an- 
gesteuert. Ein weiterer AnschluB 202 des Relais 170 liegt 50 
uber einen Optokoppler 204 an einem Ausgang des Mikro- 
computers des Kanals B. Eine Basis 206 des Transistors 
TOA ist uber einen Optokoppler 208 mit einem Ausgang des 
Mikrocomputers Kanal A verbunden. Zur Uberpriifung bzw. 
Uberwachung des Ausgangs 184 bzw. der Funktion des 55 
Transistors TOA ist der Kollektor 186 uber einen Optokopp- 
ler 210 zum Rucklesen mit einem Ausgang des Mikrocom- 
puters Kanal B verbunden. 

Gleiches gilt fur die Ausgangsebene des Kanals b. Hier 
wird der Ausgang 192 bzw. der Kollektor 194 uber einen 60 
Optokoppler-212 mit einem Ausgang des Mikrocomputers 
Kanal A zum Rucklesen verbunden. Der Transistor TOB 
wird uber einen Optokoppler 214 und einen- Ausgang des 
Mikrocomputers Kanal B angesteuert. Das Relais 172 ist 
cbenfalis mit cincm crstcn AnschluB 216 uber cincn Opto- 65 
koppler 218 mit einem Plusausgang des Mikrocomputers 
Kanal B und mit einem zweiten AnschluB 220 und einem 
Optokoppler 222 nut einem Minusausgang des Mikrocom- 
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puters Kanal A verbunden 

Nachdem jeder Kanal A, B nach dem Einschalten einen 
Selbsttest durchgefuhrt hat, werden die Relais 170, 172 von 
den Mikrocomputern Kanal A und Kanal B angesteuert. Die 
SchlieBer 176-180 schalten die extern angelegte Spannung 
auf die noch nicht angesteuerten Ausgangstransistoren TOA, 
TOB durch. Wird eine Freigabe durch beide Mikrocomputer 
Kanal A, Kanal B erteilt, schalten die Transistoren TOA, 
TOB ebenfalls durch und der Strompfad fur den extern ange- 
schlossenen Verbraucher 164 wird geschlossen. 

Im Betrieb werden die Ausgange 184, 192 geteslet, indem 
der Mikrocomputer Kanal A den zugehorigen Ausgangs- 
transistor TOA kurzzeilig abschaltet. Die Zeit des kurzzeiti- 
gen Abschaltens muB kleiner sein als die Reaktionszeit des 
angeschlossenen Verbrauchers, um eine Reaktion auf die 
kurzzeitige Stromunterbrechung zu vermeiden. Uber den 
Rucklesepfad 210 erhalt der Mikrocomputer Kanal B die In- 
formation, ob der Ausgangstransistor TOA taisachlich seine 
Funktion erfullt haL Sollte er diese Funktion nicht korrekt 
erfullt haben, so wiirde Mikrocomputer Kanal B sein uber- 
geordnetes Sicherheitsrelais 172 zum Abschalten zwingen. 

Durch Abschalten des Relais 172 wird das Relais 170 
elektrisch verriegelt. Zusatzlich findet ein Datenaustausch 
uber das Schaltverhalten der Ausgangstransistoren TOA, 
TOB uber die zwischen den Mikrocomputern angeordnete 
Ubertragungsleitung 86 bzw. uber den "Link" statt. Diese 
Daten werden somit parallel von zwei Prozessoren verarbei- 
tet. Die Testfunktion wird anschlieBend von dem Mikro- 
computer des Kanals B initialisiert, wobei die Kontrollfunk- 
tion in diesem Fall beim Mikrocomputer des Kanals A liegt. 

Patentanspruche 

1 . Sicherheitsgerichtete Ansteuerschaltung fur zumin- 
dest einen elektrischen Verbraucher (160) wie Schutz 
oder Relais urnfassend einen ersten Kanal A nut einer 
programmierbaren Steuereinheit (64) zur Ansteuerung 
von zumindest einem ersten elektronischen Schaltele- 
ment (T1-T4) und einen zweiten Kanal B mit einer 
programmierbaren Steuereinheit (62) zur Ansteuerung 
von zumindest einem zweiten elektronischen Sch alt- 
element (T5-T8), wobei der zumindest eine elektrische 
Verbraucher (160) uber das erste und/oder zweite elek- 
tronische Schaltelement (T1-T8) mit Betriebsspan- 
nung Ub verbindbar ist, dadurch gekennzeiehnet, daB 
die Ansteuerschaltung zumindest ein elektroniechani- 
sches Schaltelement (146, 148) aufweist, daB das zu- 
mindest eine elektromechanische Schaltelement (146) 
von der ersten programmierbaren Steuereinheit (64) 
und/oder von der zweiten programmierbaren Steuer- 
einheit (64) in Abhangigkeit von dem Schaltzustand 
zumindest eines elektronischen Schal tele men tes 
(T1-T8) ansteuerbar ist, und daB zumindest ein Schalt- 
kontakt (130, 132; 134, 136) des zumindest einen elek- 
tromechanischen Schaltelementes (146, 148) in Reihe 
jeweils zu dem ersten und/oder zweiten elektronischen 
Schaltelement (T1-T8) liegt. 

2. Sicherheitsgerichtete Ansteuerschaltung nach An- 
spruch 1, dadurch gekennzeichnet, daB die Ansteuer- 
schaltung zumindest zwei elektromechanische Schalt- 
elemente (146, 148) aufweist, daB ein erstes elektrome- 
chanisches Schaltelement (146) von der ersten pro- 
grammierbaren Steuereinheit (64) und/oder ein zweites 
elektromechanisches Schaltelement (148) von der 
zweiten programmierbaren Steuereinheit (64) in Ab- 
hangigkeit von dem Schaltzustand zumindest eines 
elektronischen Schaltelementes (T1-T8) ansteuerbar 
ist, und daB eine Reihenschaltung aus jeweils einem 
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Schaltkontakt (130, 1327^K, 136) des ersten und 
zweiten elektromechanischen Schaltelementes (146, 
148) in Reihe jeweils zu dem ersten und/oder zweiten 
elektronischen Schaltelement (T1-T8) liegt. 

3. Sicherheitsgerichtete Ansteuerschaltung nach An- 5 
spruch 1 oder 2, dadurch gekennzeichnet, daB die elek- 
tromechanischen Schaltelemente (146, 148) als Relais 
und die Schaltkontakte (130-134) als zwangsgefuhrte 
SchlieBerkontakte ausgebildet sind. 

4. Sicherheitsgerichtete Ansteuerschaltung nach ei- 10 
nem oder mehreren der vorhergehenden Anspriiche. 
dadurch gekennzeichnet, daB die programmierbaren 
Steuereinheiten (62, 64) jede Zustandsanderung einer 
angeschlossenen Peripherie wie Bus-System oder wei- 
terer Ein- und/oder Ausgange erfassen, um eine Zu- 15 
standsanderung der sicherheitsgerichteten Ansteuer- 
schaltung bewirken. 

5. Sicherheitsgerichtete Ansteuerschaltung nach ci- 
nem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, daB die Schaltkontakte 20 
(130-134) wahrend des Betriebs geschlossen sind. 

6. Sicherheitsgerichtete Ansteuerschaltung nach ei- 
nem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, daB ein erster AnschluB des 
ersien/zweiten Relais (146, 148) mil einein Ausgang 25 
des ersten/zweiten Mikrocomputers (62, 64) und ein 
zweiter AnschluB des ersten/zweiten Relais (146, 148) 
mit einem Eingang des zweiten/ersten Mikrocomputers 
(64, 62) verbunden ist. 

7. Sicherheitsgerichtete Ansteuerschaltung nach ei- 30 
nem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, daB die ersten elektronischen 
Schaltelemente (T1-T4) als NTN-Transistoren ausge- 
bildet sind und daB die zweiten elektronischen Schalt- 
elemente (T5-T8) als PNP-Transistoren ausgebildet 35 
sind. 

8. Sicherheitsgerichtete Ansteuerschaltung nach ei- 
nem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, daB ein Ausgang des ersten 
und/oder zweiten elektronischen Schaltelementes 40 
(T1-T8) mit jeweils einem Eingang des zweiten/ersten 
Mikrocomputers zur Uberwachung verbunden ist. 
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